水無月ばけらのえび日記

さいきん、いろんなサイトのパスワードを超長いパスワードに変更しまくってたりしてて、実際にmaxlength問題を何度も食らいました。いや、むしろmaxlengthを設定してないにも関わらず、当該サイトのほうで対応している文字数で勝手に切ってパスワードの変更を受け付けてしまうサイトもあって、マジでどうしようかと思いました。

パスワード変更したら二度と入れなくなる的な・・・

何文字まで対応してるとか書いてないところも多くて参った。

長いパスワードを登録したときには何も警告が出なかったのに、いざログインしようとしたら「パスワードが違います」でハネられるというケースもありますね。

以前某セキュリティ系研究会の参加申し込みシステムでそんな目にあったことがあります。いくらパスワードを正しく入力してもログインできず、仕方なく登録完了通知の写しを添えた問い合わせメールを運営に送ったら、「今回だけ特別ですよ」というありがたいお言葉とともに、登録されたパスワード（ある長さでばっさり切り詰められていた）が平文で返ってきましたｗ

3つあるうちの下2つの事情は知りませんが、一番上のフォームに関しては事情が全く違います。

そのPDFでは、いかにも9文字以上が入力できなかったかのような表現がなされていますが、実際はそうではありません。旧フォームでは9文字以上入力できるようにしていたくせに、実は8文字までしか保存していませんでしたというのが実情です。

私なども被害者（敢えてこう表現します）の一人で、15文字程度のパスワードを決めていて、実際にフォームでその15文字程度の入力が可能でした。それが、11月には実は8文字までしか保存されていなかったという旨のメールが届き、ひどく憤慨しました。

記事では、ユーザが気づきにくいという点に関して焦点が当たっているわけですが、この件に関しては、そもそもユーザを欺いてしまっているところに問題があるわけで、より悪質な事案です。

一応、参考URLも。

http://www.excite.co.jp/News/net_clm/20121120/Slashdot_12_11_20_085237.html

長いパスワードを入力して初めてエラーメッセージに制限が出てくるサイトもありました。

制限があるならはじめから教えてほしかったといつも思います。